Vault поддерживает Google Cloud в качестве метода аутентификации . Я хочу использовать этот метод, поэтому настройте доступ к Vault из моих экземпляров GCE и предоставьте различным экземплярам разные разрешения в зависимости от учетной записи службы, под которой они работают.
Для проверки подлинности экземпляра GCE с использованием этого метода в документах говорится, что следующие разрешения необходимы :
Обратите внимание, что это разрешение предоставлено серверам Vault. Учетная запись службы IAM или экземпляр GCE, который проходит проверку подлинности в Vault, должна иметь следующую роль:
roles/iam.serviceAccountTokenCreator
Но с здесь эта роль дает экземпляру возможность получать подписанный JWT для любой учетной записи службы. Есть ли способ настроить разрешения учетной записи службы, чтобы они могли получать только подписанный JWT для себя?